Corona und Cyberkriminalität in der Schweiz

Missbräuchliche „Corona-Domains“, Phishing-Angriffe und Cyberkriminalität. Wieviel mehr Missbrauch passiert tatsächlich in der Schweiz seit dem Ausbruch des Coronavirus?

Text: Michael Hausding, publiziert am 14.07.2020

Corona hat den Alltag grundlegend verändert und die Gesellschaft in eine Ausnahmesituation versetzt. Die damit verbundene Unsicherheit hat zu einem erhöhten Informations- und Schutzbedürfnis sowie neuen Arbeitssituationen geführt, was Kriminelle geschickt ausnutzen. Mit dem Lockdown war plötzlich fast alles nur noch virtuell möglich. SWITCH als .ch-Registry, IT-Infrastrukturproviderin der Hochschulen sowie als Multisektoren-CERT hat einen guten Überblick über die Cyberkriminalität, die im Schatten des gewaltigen Digitalisierungsschubes stattfindet.

Domain-Namen Missbrauch

Vor virenverbreitenden neuen „Corona-Domains” wurde in der internationalen Presse viel gewarnt. Bei SWITCH, als Registrierungsstelle für .ch Domain-Namen, gingen tatsächlich übermässig viele private Meldungen zu angeblich missbräuchlich registrierten Domain-Namen lautend auf “corona”, “covid” oder “virus” ein. Alle diese Meldungen wurden durch SWITCH geprüft. Falls Zweifel an der Identität des Halters bestand, wurde eine Halterfeststellung veranlasst, bei der sich der Halter mit einem Identitätsdokument ausweisen musste. Es gab tatsächlich einige wenige Fälle, bei denen Anfragen nicht beantwortet wurden und der Domain-Name deshalb wieder gelöscht wurde. In den meisten Fällen haben sich die Halter jedoch korrekt identifiziert und es mussten keine weiteren Massnahmen getroffen werden.

Auch die Schweizer Behörden haben seit März der Registrierungsstelle mehr Verdachtsfälle gemeldet. Die vom BAKOM anerkannten Behörden haben Zugriff auf das komplette Zonenfile mit allen Domain-Namen und können so verdächtige Neuregistrierungen erkennen. Von März bis Mai wurde die Registry insgesamt 253 mal um Amtshilfe gebeten, die Identität und Schweizer Korrespondenzadresse von Haltern eines verdächtigen Domain-Namens festzustellen und den Behörden anzugeben. Dabei handelt es sich um eine Standardprozedur, die jedes Jahr mehrere Tausend mal bei Verdacht auf Missbrauch wie zB. Fake-Webshops in Anspruch genommen wird. Auffällig viele Anfragen wurden beantwortet, und die Behörden konnten direkt mit den Haltern mögliche Gesetzesverstösse regeln. 

In einigen wenigen Fällen wurden die neu registrierten Domain-Namen auch auf Antrag der Behörden vorübergehend blockiert. Beispielsweise wenn auf den Webseiten persönliche Information und Kreditkarteninformationen abgefragt wurden und der Verdacht bestand, dass es sich um Fake-Webshops zum Datenphishing handelte. Auch hier haben sich die meisten Halter schnell gemeldet, der Webshop wurde deblockiert und die Behörden konnten den Sachverhalt mit den Haltern klären. Es wurden aber auch vereinzelt Domain-Namen von Shops gelöscht, die “Coronatests” angeboten hatten, da sich die Halter nicht innerhalb von 30 Tagen identifizierten.

Die Verbreitung von schädlicher Software und Phishing wurde von SWITCH auf keiner der neu registrierten “Corona” Domain-Namen festgestellt, und auch der Melde- und Analysestelle Melani sind keine derartigen Fälle bekannt. Die Täter waren sich wohl der besonderen Aufmerksamkeit bewusst, die diese Domain-Namen erzeugen und haben für ihre Angriffe unauffälligere Domain-Namen genutzt. 

Phishing-Angriffe im Homeoffice

Was sich aber feststellen liess, waren vermehrt Phishing-Angriffe auf Schweizer Internetnutzende, die von zuhause aus gearbeitet haben. Das Arbeiten ausserhalb des meist geschützten Netzes bei der Arbeit, hat diese Angriffe erleichtert. Die Angriffe, die SWITCH-CERT beobachtet hat, richteten sich gezielt gegen Hochschulangehörige und Nutzende von Schweizer IT-Dienstleistern wie Webhoster. Die erbeuteten Zugänge zum Webhosting wurden dann häufig missbraucht, um dort weitere Phishingseiten auf den vorhandenen Domain-Namen und Webservern zu hosten. Glücklicherweise konnten diese Kompromittierungen schnell erkannt und beseitigt werden. Verschiedene Hoster haben ihre Kunden vor den Angriffen gewarnt, auch die Melde- und Analysestelle Melani hat von mehr Phishing berichtet.

Einer der prominentesten Phishing-Angriffe international, gleich zu Beginn der Pandemie wurde im Namen der WHO ausgeführt. Die WHO hat es versäumt ihren Domain-Namen who.int vor Missbrauch zu schützen. Und zwar weder mit DNSSEC noch mit DMARC. Während DNSSEC vor missbräuchlichen Umleitungen auf andere Websites schützt, dient DMARC dem Schutz vor E-Mail-Spoofing, damit Angreifer E-Mails nicht im Namen eines anderen versenden können. Genau das passierte der WHO. So wurden in ihrem Namen – als globale, oberste Autorität in der Gesundheitskrise – Phishing-E-Mails versendet, welche die Pandemie als Aufhänger nutzten, um schädliche Software zu verteilen. Eine einfache virtuelle Hygienemassnahme wie DMARC zur Authentisierung von E-Mails wurde nicht angewendet. Mittlerweile hat die WHO für ihren Domain-Namen DMARC aktiviert. Damit ist nicht nur ihre Organisation vor Missbrauch geschützt. DMARC erleichtert auch ihren E-Mail Empfängern, Phishing-E-Mails leichter zu erkennen. In der Schweiz wurde, vielleicht auch als Reaktion auf die vermehrten Phishing-Angriffe, von einigen Organisationen und auch IT-Dienstleistern DMARC eingeführt. Einige Schweizer Anbieter berichten, dass sie dank dessen grosse Phishing Kampagnen herausfiltern und so ihre Kunden schützen konnten. Auch wenn die Verwendung von DMARC in der Schweiz auf 8% gestiegen ist, ist hier, wie bei der Anwendung anderer Standards in der Schweiz noch dringender Bedarf die Cyberhygiene zu verbessern.

Die gestiegene Cyberkriminalität im Zusammenhang mit der Corona-Pandemie macht einmal mehr deutlich, wie empfindlich die Internetinfrastruktur ist. Die Anwendung von Sicherheitsstandards wie DMARC und DNSSEC sollte deshalb dringend priorisiert werden, um die Resilienz der digitalen Schweiz für die Zukunft zu stärken und damit imageschädliche Cyberangriffe zu erschweren.

Über den Autor
Michael   Hausding

Michael Hausding

Michael Hausding studierte Informatik an der TU Darmstadt und MTEC an der ETH Zürich. Seit 2008 arbeitet er als Sicherheitsexperte im Team von SWITCH-CERT und ist auf DNS- und Domain-Missbrauch spezialisiert.

E-Mail

#Security

Dieser Artikel wurde erstmals bei inside-it.ch und inside-channels.ch im Rahmen der #Security-Kolumne von SWITCH publiziert. Die Kolumne erscheint sechs Mal jährlich. Security-Experten von SWITCH äussern unabhängig ihre Meinung zu Themen rund um Politik, Technik und Awareness der IT-Sicherheit.

Tags
Security
Weitere Beiträge